主页 / dba / 问题 / 331020
Accepted
Zikato
Asked: 2023-09-08 17:55:42 +0800 CST

我可以更改 cdc 架构的所有者吗?

  • 772

我已使用以下命令在数据库上启用了更改数据捕获 (CDC)exec sys.sp_cdc_enable_db

这将创建一个由cdc用户拥有的新cdc架构

select
    s.*
    , dp.name
from sys.schemas as s
join sys.database_principals as dp
    on dp.principal_id = s.principal_id

在此输入图像描述

因为我想利用所有权链接并使用 proc 从此架构中读取数据,所以我可以将所有者更改为dbo吗?

ALTER AUTHORIZATION ON SCHEMA::cdc TO dbo

此命令起作用并更改所有者。但疾病预防控制中心已经启用了一段时间,我担心未来会进一步破坏一些东西。

security

2 个回答

  1. Best Answer

    文档中

    为了使更改数据捕获 (CDC) 正常运行,您不应手动修改任何 CDC 元数据,例如 CDC 架构、更改表、CDC 系统存储过程、默认 cdc 用户权限 (sys.database_principals) 或重命名 cdc 用户。

    在同一文档的其他地方(在“数据流”部分),有一个图表强烈暗示您应该使用cdc.fn_cdc_get_all_changes_<capture_instance>and/or cdc.fn_cdc_get_net_changes_<capture_instance>。在这些文档中,有一些关于权限的内容

    需要 sysadmin 固定服务器角色或 db_owner 固定数据库角色的成员身份。对于所有其他用户,需要对源表中所有捕获的列具有 SELECT 权限,并且如果定义了捕获实例的门控角色,则需要该数据库角色的成员资格。

    这意味着对基础表的 SELECT 权限应该足够了,您不需要更改有关 CDC 工作方式(权限或其他)的任何内容。

    • 4

  2. 替代解决方案?

    你问:

    因为我想利用所有权链接并使用过程从该架构中读取数据,所以我可以将所有者更改为 dbo 吗?

    与其更改所有权,为什么不授予自己或其他人从架构中读取数据的权限呢?你可以直接进入CONTROL(但不是ALTER):

    GRANT SELECT, INSERT, UPDATE, DELETE ON SCHEMA::cdc TO <desired_principal>;

    所有权链的思想实际上被微软认为是谨慎使用的:

    对架构具有 ALTER 权限的用户可以使用所有权链接来访问其他架构中的安全对象,包括明确拒绝该用户访问的安全对象。这是因为当引用对象由拥有引用它们的对象的主体拥有时,所有权链会绕过对引用对象的权限检查。对架构具有 ALTER 权限的用户可以创建架构所有者拥有的过程、同义词和视图。这些对象将可以(通过所有权链接)访问模式所有者拥有的其他模式中的信息。如果可能,如果架构的所有者还拥有其他架构,则应避免授予对该架构的 ALTER 权限。

    参考: GRANT 架构权限 (Transact-SQL) (Microsoft Learn)

    通过将架构所有者更改为 ,您可能会陷入这种情况dbo

    • 1

相关问题